在黑客入侵這件事上 沒人能快過俄羅斯
時間:2019-03-01
在遭遇黑客入侵后絕望的取證調(diào)查過程中�����,入侵的初始點往往備受重視:希拉里競選經(jīng)理人 John Podesta 收到的網(wǎng)絡(luò)釣魚郵件���,或者致使Equifax服務(wù)器被非授權(quán)訪問的 Apache Struts 漏洞����。但安全公司CrowdStrike首席技術(shù)官 Dmitri Alperovitch 認為����,真正關(guān)鍵的時刻未必是初始滲透點,而是之后發(fā)生的事情——入侵者從初始滲透點染指整個網(wǎng)絡(luò)的速度有多快�����?而在這一點上�����,沒人能快過俄羅斯黑客。
2月19日發(fā)布的年度全球威脅報告中���,CrowdStrike引入了新的黑客復(fù)雜度指標:所謂的“突破”速度��。2018年分析過3萬多起入侵事件后����,CrowdStrike測量了黑客從初始入侵到開始拓展染指范圍或提升權(quán)限的耗時��。該公司比較了4個不同國家的國家支持黑客與非國家網(wǎng)絡(luò)罪犯之間的耗時差距���,結(jié)果顯示:俄羅斯黑客速度最快�,從建立最初的立足點到擴大自身活動范圍�����,平均耗時僅18分49秒��。
這些數(shù)據(jù)也暗示了防御者阻止進行時攻擊所需的速度���,特別是可能成為俄羅斯情報機構(gòu)目標的那些組織����。
CrowdStrike多年來緊密跟蹤俄羅斯黑客行動����,發(fā)現(xiàn)了2016年美國民主黨全國委員會數(shù)據(jù)泄露事件背后的2個俄羅斯黑客入侵行動。Alperovitch表示:俄羅斯真的是最好的對手����。在調(diào)查中與之交手,如此短的突破時間就是他們技術(shù)的明證�����。該指標很好地捕捉到了攻擊節(jié)奏�。俄羅斯黑客的速度快到令人難以置信,幾乎是第二名威脅的八倍��。
“工具��、零日漏洞�、高級惡意軟件能告訴你一些東西,但不是事件的全貌��。"
CrowdStrike的排名中��,朝鮮黑客名列第二,從初始突破點擴散到整個網(wǎng)絡(luò)的耗時平均要比俄羅斯黑客長兩個小時��。中國黑客耗時約4個小時���,伊朗黑客則超過5個小時��,追逐利益的網(wǎng)絡(luò)罪犯平均要花近10個小時才可以提權(quán)�,或?qū)⒏腥緮U散到受害網(wǎng)絡(luò)的其他部分��。
在情報機構(gòu)和軍方能從大量私營企業(yè)購買惡意軟件和漏洞的時代�����,CrowdStrike衡量的突破時間可能最接近攻擊運作復(fù)雜度的真實測試�����。黑客國家隊不太可能像經(jīng)常購買漏洞研究成果和軟件開發(fā)工具��,并將攻擊外包的經(jīng)濟黑客一樣�。工具、零日漏洞�����、高級惡意軟件能告訴你一些東西,但不是事件的全貌���,僅僅表明他們有很多資金可用而已�����。
案例之一就是APT29(又稱安逸熊:Cozy Bear )。從目標點擊網(wǎng)絡(luò)釣魚鏈接到域管理員權(quán)限入手——也就是獲得整個目標網(wǎng)絡(luò)的控制權(quán)�,該菁英黑客團隊僅需10分鐘。他們并不是啜飲著咖啡慢慢計劃今天該干點兒啥的悠閑紳士����,他們有明確的目標,一旦目標上鉤�,立即盡快捕獲,在自己被檢測到之前早早完成任務(wù)�。
Ben Read 是CrowdStrike的競爭公司火眼的網(wǎng)絡(luò)間諜分析經(jīng)理,他認為突破速度不是反映黑客危險程度的唯一指標�,有些黑客組織可能會搜索更大范圍的網(wǎng)絡(luò),但只專注于搞定某幾個上鉤的受害者��。
“速度是一個有趣的數(shù)據(jù)點��,但不是攻擊復(fù)雜度的完美反映�����。發(fā)送1萬封網(wǎng)絡(luò)釣魚郵件也可能只真正關(guān)心5個目標。如果你是那五個目標之一��,那他們會快速搞定你����。但如果你只是一個無聊智庫的人力資源人員,那他們會幾個小時后才來瞄你一眼���。"
不過�,CrowdStrike的研究數(shù)據(jù)還是展現(xiàn)了黑客的平均行動力��,反映出網(wǎng)絡(luò)運營商需要動作多快才可以捕獲攻擊行動并限制入侵����。這家公司真的算出了自己在2018年觀測到的所有事件的平均突破時間——4小時37分鐘,比2017年的不到2小時可是長了許多���,其中部分原因在于慢速攻擊者的數(shù)量增長���。但即便是四五個小時的窗口時間,對檢測和響應(yīng)威脅來說也還是太窄了���,一不小心就是單個用戶感染和整個網(wǎng)絡(luò)陷落的差別�����。
“防御者應(yīng)隨時待命���。突破時間指標不僅僅反映出攻擊者的速度�����,也昭示著防御者清除他們所必須達到的速度。"
在線咨詢
在線咨詢
0371-63319761